Sommario
CISA ha aggiunto tre falle critiche di Ivanti Endpoint Manager (EPM) al proprio catalogo delle vulnerabilità sfruttate, avvertendo le agenzie federali di proteggere i propri sistemi entro il 31 marzo. Nel frattempo, una vulnerabilità di PHP su Windows (CVE-2024-4577) sta subendo attacchi su vasta scala, con exploit attivamente utilizzati in diverse regioni del mondo.
Entrambi gli avvisi indicano una crescente minaccia per le infrastrutture IT globali, con attacchi che sfruttano vulnerabilità già note e per cui sono disponibili patch.
Ivanti Endpoint Manager sotto attacco: tre falle critiche permettono il controllo remoto
Le vulnerabilità in Ivanti Endpoint Manager (CVE-2024-13159, CVE-2024-13160 e CVE-2024-13161) sono dovute a problemi di traversal di percorso, consentendo agli attaccanti di accedere ai file di sistema e compromettere completamente i server vulnerabili.
Scoperte da Horizon3.ai e patchate da Ivanti a gennaio 2025, le falle sono state successivamente incluse nel catalogo delle vulnerabilità attivamente sfruttate di CISA, il che indica un numero crescente di attacchi reali.
Secondo CISA, queste vulnerabilità sono vettori di attacco frequenti per attori malevoli, e le agenzie governative hanno tre settimane per mettere in sicurezza i propri sistemi. Tuttavia, anche le aziende private sono esposte e dovrebbero applicare le patch senza indugi.
CVE-2024-4577: la vulnerabilità PHP viene sfruttata per attacchi su larga scala
Un’altra minaccia in rapida crescita è l’exploit della vulnerabilità CVE-2024-4577 di PHP, che colpisce le installazioni su Windows in modalità CGI. Identificata inizialmente come una falla di injection di argomenti, questa vulnerabilità consente agli attaccanti di eseguire codice arbitrario da remoto.
Patch disponibili da giugno 2024 non hanno impedito agli attaccanti di sfruttare attivamente la falla. Secondo GreyNoise, gli attacchi sono stati rilevati su larga scala a partire da gennaio 2025, con 1.089 IP unici coinvolti in exploit attivi. Il fenomeno ha colpito principalmente Stati Uniti, Singapore e Giappone, ma ha coinvolto anche Germania e Cina, da cui proviene il 43% delle attività malevole.
Tra gli attori coinvolti figurano gruppi ransomware come TellYouThePass, che hanno usato la vulnerabilità per installare webshell e crittografare i dati delle vittime. Anche università e organizzazioni governative in Asia sono state prese di mira con malware avanzati.
Un’escalation di attacchi sfrutta vulnerabilità note
Questi due attacchi confermano una tendenza crescente verso lo sfruttamento di falle già note, spesso con exploit pubblicamente disponibili. I responsabili IT dovrebbero:
- Aggiornare immediatamente Ivanti EPM e PHP su Windows, applicando le patch disponibili.
- Monitorare il traffico di rete per individuare attività sospette riconducibili agli exploit.
- Implementare regole di firewall e segmentazione di rete per limitare l’accesso non autorizzato ai server vulnerabili.
- Verificare i file di sistema per individuare eventuali backdoor installate dagli attaccanti.
Le settimane a venire saranno cruciali per determinare l’impatto di questi exploit e valutare le contromisure adottate dalle organizzazioni.
